华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书.docx

华能嘉祥发电有限公司网络安全等级保护测评项目技术规范书批准:审核:编制:华能嘉祥发电有限公司2023年09月目录1总则31.1引言31.2 总体要求和概况31.3 适用范围31.4标准和规范41. 5权利和职责41.6 项目工作范围51.7 服务周期或施工周期62技术规范62. 1项目实施原则62.6 实施要求62.7 等级保护测评内容82.8 电力监控系统安全防护评估内容102.9 测评及评估流程123项目服务商要求153.1 服务团队技术要求153.2 服务人员要求153.3 技术支持服务要求154工程管理164.1项目验收164.2 项目文档164.3 质量保证174.4 保密要求171总则1.1 引言为了落实公安部、国家能源局关于电力监控系统安全等级保护要求，进一步增强电力监控系统安全防护能力，确保电力监控系统安全稳定运行，依据信息系统安全等级保护基本要求（GB/T22239-2008）、电力行业信息系统安全等级保护基本要求（电监信息201262号）、电力监控系统安全防护规定（国家发展改革委员会2014年第14号令）、电力行业网络与信息安全管理办法（国能安全2014317号）和电力行业信息安全等级保护管理办法（国能安全20141318号）等制度和标准要求，进行本次电力监控系统信息安全技术服务，内容包括等级保护测评、安全防护评估、安全审计等。1.2 总体要求和概况通过信息系统安全测评工作促进系统安全整改与安全建设，保证电力监控系统安全防护体系的强壮性和有效性；加强信息系统安全建设、提升从业人员安全意识，为电力监控系统安全奠定良好基础，保证电力监控系统安全可靠运行并完成等级保护备案工作。华能嘉祥发电有限公司根据区域划分生产控制大区和管理信息大区，电力监控系统包含DCS、SlS及调度数据网等。根据三同时要求机组DCS系统完成国产化改造后重新备案并进行等保测评。PI系统升级改造为厂级监控SIS系统，完成定级、等保测评及备案。燃料管理信息系统完成等保测评及备案。配合信息中心完成信息内、外网安全风险评估工作，出具报告。1.3 适用范围本技术规范适用于信息安全技术服务项目的采购，包括技术服务要求和验收要求。1.3.1 本技术规范提出的是最低限度的技术要求。凡本技术规范中未规定，但在相关国家标准、电力行业标准或IEC标准中有规定的规范条文，投标人应按相应标准的条文进行服务供应说明。1.3.2 如果投标人没有以书面形式对本技术规范的条文提出异议，则招标方认为投标人提供的服务完全符合本技术规范。1.3.3 本技术规范所建议使用的标准如与投标人所执行的标准不一致，投标人应按更严格标准的条文执行或按双方商定的标准执行。1.3.4 本项目涉及到的知识产权费用均已包含在报价中，因知识产权产生的纠纷由报价人自行承担或解决，采购人不承担相应责任。1.3.5 技术规范书经双方确认后，作为合同的附件，与合同正文具有同等的法律效力。1.3.6 和规范下列文件中的条款通过本规范的引用而成为本规范的条款，除本技术规范书特别规定外，投标人所提供的测评标准均应遵循公安部、能源局相关文件要求和招标方的相关文件要求，所用的标准必须是其最新版本；如果这些标准内容矛盾时，应按最高标准的条款执行或按双方商定的标准执行；如果投标人选用本技术规范书规定以外的标准时，需提交与这种替换标准相当的或优于规定标准的证明，供招标方确认。 信息安全等级保护管理办法（公通字200743号） GB/T22239-2019信息安全技术信息系统安全等级保护基本要求 GA/T1389-2017信息安全技术信息系统安全等级保护定级指南 GB/T25058-2019信息安全技术信息系统安全等级保护实施指南 GB/T28448信息安全技术信息系统安全等级保护测评要求 GB/T28449信息安全技术信息系统安全等级保护测评过程指南 关于开展电力行业信息系统安全等级保护定级工作的通知（电监信息（2007）34号） 电力行业信息系统安全等级保护基本要求（电监信息201262号） 电力行业网络与信息安全管理办法（国能安全2014317号） 电力行业信息安全等级保护管理办法（国能安全2014318号） 电力监控系统安全防护规定（国家发展改革委员会2014年第14号令） 电力监控系统安全防护总体方案国能安全201536号 发电厂监控系统安全防护方案国能安全201536号 电力监控系统安全防护评估规范国能安全201536号1.3.7 和职责为切实保障本项目的工作质量，确保测评及评估工作达到预期目标，对招标方及项目实施方双方技术工作责任约定如下:1.5. 1招标方责任 负责测评实施过程中同相关单位和部门的协调。 为项目实施方提供良好的工作场地和环境。 按工作要求提供相关的资料和信息。 准备应急措施，负责实施过程中的紧急情况的处理。1.5.2项目实施方责任 按照招标方工作章程开展工作。 项目内容的变更及时与招标方代表沟通。 按照协议要求提供技术服务和成果。 确保信息安全技术服务工作质量。 配合招标方准备应急预案和实施过程中的紧急情况处理。 负责按时完成所有工作。同时，双方都必须遵循保密要求。1.6 项目工作范围信息安全技术服务范围如下：(1)等级保护测评对象：火电机组分散控制系统DCS(330MW)安全等级保护测评为三级。燃料管理系统、SIS系统安全等级保护测评均为二级。(2)根据国家等级保护相关标准，安全等级保护测评应包括以下内容：安全技术测评：包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个方面的安全测评；安全管理测评：包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。(3)电力监控系统安全防护评估的主要内容包括：资产评估、威胁评估、脆弱性评估、现有安全措施有效性评估等。本次服务范围见下表：序号系统名称工程内容1DCS系统三级等保测评2SIS系统二级等保测评3燃料监管系统二级等保测评4电力监控系统安全防护评估电力监控系统安全防护评估1.7 服务周期或施工周期在合同签订后，根据发标方各系统实施时间要求，中标方入厂进行等级保护现场测评，并出具系统的等级保护测评报告，完成备案等全部相关事项；2技术规范2.1 项目实施原则本项目实施方案设计与具体实施应满足以下原则：2.1.1 保密性原则：项目实施方应与招标方签订保密协议，对服务的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据侵害招标方的权益，否则招标方有权追究投标人的责任。2.1.2 2标准性原则：测评及评估方案的设计与实施应依据国家的相关标准进行。2.1.3规范性原则：项目实施方工作中的过程和文档，应具有规范性，便于项目跟踪和控制。2.1.4 可控性原则：项目的进度应符合进度安排，保证招标方对服务工作的可控性。2.1.5 整体性原则：测评及评估的范围和内容应系统、全面、规范，满足等级保护和安全防护评估的相关基本要求。2.1.6 最小影响原则：技术服务工作应尽可能小的影响在线系统和网络的正常运行，不能对现有运行系统造成影响。在线测评及评估应在招标方许可的条件下进行。2.2 实施要求投标人在签订合同后开工前应提供详细的信息安全技术服务的整体实施方案，包括项目概述、等保测评方案、安全防护评估方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。投标人应详细描述服务人员的组成、资质及各自职责的划分。2.3 2.1测评及评估方法测评及评估方法包括访谈、检查和测试三种方法，可细化为文档审查、配置检查、工具测试和实地察看等多种方法。如需在电力监控系统等级保护测评及安全防护评估实施过程中采用在线测评工具，各种工具软件由项目实施方推荐，经招标方确认后由项目实施方提供并在工作中使用。安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由项目实施方推荐，经确认后由项目实施方提供并在测评中使用。安全测评需要的运行环境（如场地、网络环境等）由招标方提供，项目实施方应详细描述需要的运行环境的具体要求。2.2.2工作进度2.2.2.1筹划准备阶段工作周期：12周工作内容：对被测评及评估系统防护现状进行详细分析和调研，初步确定测评及评估实施方案、范围，收集材料，签署保密协议，组建测评及评估项目组，并进行进场实施前的安全教育工作，同时完成检测工具、装备配置等各项准备工作。2.2.2.2启动阶段工作周期：12个工作日工作内容：项目组进驻被测单位，收集分析信息资产资料、网络资料、业务系统资料和信息安全管理制度方针等相关测评所需材料，并召开启动会，就测评及评估工作具体事宜进行落实，包括确定测评及评估计划安排、测评及评估范围、测评及评估内容和配合需求等。2.2.2.3现场测评工作周期：4-5个工作日工作内容：项目组从管理和技术两个方面入手，开展被测单位测评及评估工作，包括安全区划分、网络专用，评估管理和制度、基础网络、业务系统、通用服务、主机系统、数据库系统、现有安全措施等。测评及评估方法有顾问访谈、日志审计、人工查看、漏洞扫描等。现场工作结束后，测评及评估工作小组对现场测评情况进行初步整理汇总，向被测单位领导和系统管理员等汇报现场阶段工作情况。2.2.2.4结论分析报告编制阶段工作周期：34周工作内容：项目组对检测情况和采集的数据进行分类统计、风险计算、综合分析与评估，撰写被测单位系统等级保护测评报告及电力监控系统安全防护评估报告。2. 2.2.5整改技术支持阶段工作内容：项目组针对现场测评及评估发现的问题，出具整改建议后，向被测单位提供整改技术咨询支持。3. 2.3风险控制测评及评估工作本身也会引入安全风险，必须加强测评及评估过程中的风险控制。项目实施前，双方应充分讨论并明确测评及评估对系统可能带来的风险和隐患，确定测评及评估对象、测评及评估方法和工具，并制定应急恢复措施。（1）操作的申请和监护测评及评估操作必须遵守现场运行规章制度，确保系统安全稳定运行。如需在线测试，按照相关工作规程，事前申请，并在专责人员的指导和监护下进行。（2）人员与数据管理重视保密工作，加强测评及评估过程中的保密管理，确保参与测评工作人员的可靠、稳定，防止敏感信息泄漏。（3）测评对象选择优先选择备用设备（系统）或临时搭建的模拟环境进行测评及评估，避免影响在线系统运行。（4）制定应急预案根据被测系统情况，在测评及评估实施前制定应急预案，加强系统在线应急处置能力。（5）关键业务系统风险控制生产控制大区在线运行系统禁止采用渗透测试工具进行测评。2.3等级保护测评内容根据国家等级保护相关标准，本次项目的安全等级保护测评应包括以下内容:安全技术测评：包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等五个方面的安全测评；安全管理测评：包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。2.3.1物理安全物理安全测评是对电力监控系统的机房和办公场所的物理环境安全防护情况进行测评，包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。2.3.2网络安全网络安全测评是对电力监控系统的网络系统安全防护情况进行测评，包括网络结构安全、网络访问控制、网络安全审计、网络边界完整性检查、网络入侵防范、网络恶意代码防范、网络设备防护等方面的安全状况。2.3.3主机安全主机安全测评是对电力监控系统的服务器、数据库和终端主机系统的安全防护情况进行测评，包括操作系统和数据库层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、主机入侵防范、主机恶意代码防范、主机资源控制等方面的安全状况。2.3.4应用安全应用安全测评是对电力监控系统的业务系统的安全防护情况进行测评，包括应用系统层面的身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、应用系统的资源控制等方面的安全状况。2.3.5数据安全及备份恢复数据安全及备份恢复测评是对电力监控系统的数据安全保护情况进行测评，包括数据在传输和存储过程中的完整性、保密性措施，数据备份和恢复措施。2.3.6安全管理制度安全管理制度测评是对电力监控系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。2.3.7安全管理机构安全管理机构测评是对电力监控系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。2.3.8人员安全管理人员安全管理测评是对电力监控系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训，以及外部人员访问管理等情况进行测评。2.3.9系统建设管理系统建设管理测评是对电力监控系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统定级备案、等级测评、安全服务商选择等情况进行测评。2. 3.10系统运维管理系统运维管理测评是对电力监控系统运行维护过程中的环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等情况进行测评。2.4电力监控系统安全防护评估内容根据电力监控系统安全防护评估相关标准，在系统等级保护测评的基础上，增加如下评估项：资产评估、威胁评估、通用应用评估、基础设施安全评估、体系结构安全评估、系统本体安全评估、全面安全管理评估、安全应急能力评估、现有安全措施有效性评估等。2.4.1资产评估资产评估对象包括：网络、主机、安全防护措施、应用系统等。根据安全防护评估有关技术要求，资产评估主要考虑两个方面的内容：一是信息系统中所存储、处理、传输的主要信息，二是信息系统所提供的主要服务。通过对每一类信息和服务等级的分析，最终确定信息系统的重要性级别。资产评估具体步骤包括：资产数据整理与核实、资产重要程度分析。其中，资产数据整理与核实是根据被评估单位前期提交的资料，进行资产数据的真实性的查证与确认。资产重要程度分析是根据资产承载的数据、提供的服务，判定资产重要程度的过程。2.4.2威胁评估威胁评估是对被评估单位业务系统、网络与信息系统面临的威胁进行分析的过程。威胁评估依据电力监控系统安全防护评估规范提供的威胁列表，以运行与管理人员访谈的方式进行。如被评估单位能够提供历史信息安全事件统计，也可作为威胁评估的补充内容。通过威胁评估，要达到明确被评估单位信息系统面临的主要威胁，以及这些威胁的等级的目的。2.4.3通用应用评估通用应用评估是对信息系统中的数据库服务、Web服务等通用应用进行的安全配置检查，达到发现通用应用安全漏洞的目的。通用应用评估也采用人工审计和漏洞扫描两种方式进行。2.4.4基础设施安全评估基础设施评估是对电力监控系统所处机房的物理安全防护情况，包括防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施实施情况，电子门禁的使用情况等进行评估。电力监控系统设备及线缆的部署情况，包括服务器、网络设备、安全设备的安装情况，通信线缆和电源线的铺设情况，设备电力供应情况等2.4.5体系结构安全评估体系结构评估应重点检查16字方针“安全分区、网络专用、横向隔离、纵向认证”的落实情况，重点针对网络边界防护措施、横向隔离、纵向认证等关键防护措施的执行情况，安全接入区的设置情况、无线网络防护等。2.4.6系统本体安全评估系统本体安全评估是对电力监控系统自身安全防护情况，包括软、硬件使用和策略配置等进行评估：1 .移动存储介质使用情况，包括硬盘、U盘或其它存储设备；2 .操作系统、网络设备、应用系统用户口令使用情况；3 .操作系统、网络设备、应用系统用户权限分配情况；4 .主机、交换机、路由器等设备、应用系统的安全策略配置及加固情况，尤其是WindoWS系统、非国产网络及安全设备。5 .终端检测：主要为抽查被评估单位办公终端和上网终端是否有驻留木马、蠕虫、恶意软件，是否存在自定义共享文件夹，系统补丁是否及时更新安装，关键工作文件存放是否恰当等情况。主要通过人工查看和工具检测两种方式来进行。6 .外设检测：主要检测带有硬盘、内存或其它存储设备和简易操作系统的网络打印机、传真机等智能设备。2.4.7全面安全管理评估全面安全管理评估是从管理角度对单位电力监控系统概况进行评估，重点检查安全防护规定落实情况；制度建立及主管领导、管理机构和工作人员履职情况，信息安全责任制落实情况；运维人员的安全管控情况；电力监控系统安全防护评估工作开展情况;信息安全宣传教育、领导干部及各级人员网络与信息安全基础培训、信息安全人员专业技术培训情况等。2.4.8安全应急能力评估安全应急能力评估是对系统的安全有效性、业务的连续性和备用、灾备能力进行评估。备用与容灾能力的建设情况，包括系统的冗余设备部署情况，设备配置的备份情况等；网络与信息安全应急预案的制定、修订情况，包括应急预案是否健全，是否具有针对性和可操作性等；应急技术支撑队伍建设、应急演练的执行情况；重大网络安全事件处置情况。2. 4.9现有安全措施有效性评估现有安全措施有效性评估是对信息系统中部署的主要安全防护措施进行的审计，达到确定这些安全措施的管理和使用情况是否存在重大漏洞和缺陷，明确现有安全措施的有效性程度的目的。现有安全措施的评估主要采用人工检查和访谈的方式进行。主要包括防火墙、防病毒系统、入侵检测/防御装置、防病毒网关、单向隔离装置、纵向认证装置等现有安全措施。2.5测评及评估流程根据国家等级保护相关标准，等级保护测评流程分为四个阶段：测评准备阶段、方案编制阶段、现场测评阶段、分析与报告编制阶段。测评完成后，提供整改建议书，配合招标方根据测评范围进行整改实施。安全等级保护测评流程如下图所示:测评准备活动一沟通与洽谈.测评对象确定分析与报告编制活动等级测评项目启动第一次技术联络会信息收集与分析工具和表单准备测评指标确定测评工具接入点确定结果确认和资料归还单项测评结果判定单项测评结果汇总分析系统整体测评分析综合测评结论初步形成第二次技术联络会测评报告编制电力监控系统安全防护评估工作基本流程将依照电力监控系统安全防护评估规范进行，分前期交流和启动准备阶段、现场数据采集和评估阶段、风险计贻件3½I 可能性3项目服务商要求3.1 服务团队技术要求投标人应仔细阅读本技术规范书所列的各项规范，所提供的安全服务应满足本技术规范书提出的要求。投标人也可以推荐满足本技术规范的其他方案，但必须对其在技术规范方面与本技术规范书之间所存在的差异加以详细说明。若无说明，则按对投标人不利的方面理解。投标人及投标产品应满足以下要求： 网络安全等级保护测评机构必须具备国家公安部认可的网络安全等级保护测评机构推荐证书，同时具备中国国家认可委员会颁发的CNAS实验室（ISO/IEC17025）、CNAS检验检测机构CSO/IEC17020）资质。 投标人应承诺在检测过程中所使用的工具软件本身不能有任何安全隐患，对此应承担责任。同时提供的安全服务必须在技术上先进和成熟，使用工具软件版本是最新的并且成熟稳定，投标人应在整改加固过程中保证系统的稳定性,应具备等保测评工具专利（等保测试自动评价系统）以及风险评估专利工具（信息安全风险评估与管理系统RiskAM）;3.2 服务人员要求项目负责人：业务技能过硬、管理经验丰富，须具备具有网络安全等级保护测评高级测评师证书及信息系统信息安全保障人员CISAW（安全运维方向及风险管理方向）投标人应与招标方签订保密协议，对检测和加固过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据侵害招标方的权益，否则招标方有权追究投标人的责任。投标人工作中的过程和文档，应具有规范性，便于项目跟踪和控制。投标人机构内部具有等级保护测评资质人员不少于10人，其中高级测评师不少于2人，国家重要信息系统保护人员CIIP-A（能源）不少于1人，现场工作结束后，如果招标方对提出的安全问题有疑义，服务团队应予解答。3.3 技术支持服务要求技术服务工作本身也会引入安全风险，必须加强技术服务过程中的风险控制。项目实施前，双方应充分讨论并明确技术服务过程对系统可能带来的风险和隐患，并制定应急恢复措施。（1）操作的申请和监护技术服务操作必须遵守现场运行规章制度，确保系统安全稳定运行。如需在线测试，按照相关工作规程，事前申请，并在专责人员的指导和监护下进行。（2）人员与数据管理重视保密工作，加强技术服务过程中的保密管理，确保参与项目工作人员的可靠、稳定，防止敏感信息泄漏。（3）对象选择优先选择备用设备（系统）或临时搭建的模拟环境进行测评及评估，避免影响在线系统运行。（4）制定应急预案根据系统情况，在技术服务实施前制定应急预案，加强系统在线应急处置能力。（5）关键业务系统风险控制生产控制大区在线运行系统禁止采用渗透测试工具进行测评。4工程管理4.1 项目验收验收应按照招标方确认的验收测试大纲进行，全过程必须由招标方在场见证。等级保护测评及安全防护评估项目目标是输出等级保护测评及安全防护评估报告，该项目将产生一定数量的文档。 投标人应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。 投标人应提交验收流程、验收方法和验收依据。 投标人应提供交付件归档办法和方式。 投标人应提供详细的验收测试大纲或计划，大纲中应明确规定验收项目和必须满足的要求。大纲必须经招标方确认后方可生效。 验收报告需双方代表签字认可。4.2 项目文档4.2.1投标人提供的资料应使用国际单位制（SI）,语言为中文。4.2.2资料的组织结构清晰、逻辑性强。资料内容要正确、准确、一致、清晰完整。如所供资料不能达到要求时，投标人应免费给予补充。4.2.3投标人资料的提交应及时充分，满足项目进度要求。4.2.4投标人完成项目后应提供以下文档：表3-1投标人完成项目提供文档列表序号文档名称提交时间备注1系统安全等级保护测评报告现场测评后6周正式版2电力监控系统安全防护评估报告现场测评后6周正式版3整改建议书现场测评后6周电子版4.3质量保证投标人在项目方案设计、实施、验收的各个阶段，均应满足各测评系统正常稳定运行的要求。4.4保密要求投标人承担敏感信息的保密责任，在项目实施过程中，双方需要复制对方提供的相关资料时，应提交书面申请，在得到对方书面同意后方可复制，并将数据内容记录成表，签字确认。未经双方书面同意，不得向第三方透露项目和涉及双方企业信息安全、技术成果的任何内容。投标人需执行采购人所在单位的保密规定。投标人需与采购人签订保密协议。项目结束后，双方必须互相确认技术服务过程中提供的相关资料，相互承担保密责任。